P2Pinfect Malware

Os autores de ameaças estão realizando ataques em instâncias vulneráveis de SSH e Redis, um armazenamento de dados de código aberto. Esses agentes fraudulentos estão usando um worm autorreplicante ponto a ponto conhecido como P2Pinfect, que possui versões projetadas para os sistemas operacionais Windows e Linux.

Desenvolvido na linguagem de programação Rust, o malware P2Pinfect utiliza pelo menos dois métodos para obter acesso inicial aos sistemas de destino. O primeiro método explora uma vulnerabilidade crítica que foi divulgada e corrigida em 2022. O segundo método aproveita um recurso do Redis que permite a replicação do banco de dados principal para melhorar a alta disponibilidade e combater os cenários de failover.

O P2Pinfect Malware Usa Diferentes Vetores de Infecção

Inicialmente, o P2PInfect aproveitou uma vulnerabilidade crítica identificada como CVE-2022-0543, que tinha uma pontuação máxima de gravidade de 10 em 10. Essa falha de segurança afetou especificamente os sistemas Debian e pertencia a uma vulnerabilidade de escape de sandbox LUA resultante de um problema de empacotamento. A exploração dessa vulnerabilidade concedeu recursos de execução remota de código, representando uma ameaça significativa aos sistemas afetados.

Depois que uma instância vulnerável do Redis é comprometida usando uma carga inicial, o P2PInfect passa a baixar novos scripts e binários maliciosos personalizados para o sistema operacional específico. Além disso, o servidor infectado é incluído na lista de sistemas comprometidos do malware. Posteriormente, o malware integra o servidor infectado em sua rede ponto a ponto, facilitando a disseminação de cargas maliciosas para futuros servidores Redis comprometidos.

Os pesquisadores que investigam o P2PInfect também descobriram uma amostra que demonstrou compatibilidade entre plataformas, indicando que o malware foi projetado para atingir ambientes Windows e Linux. Este exemplo específico continha binários Portable Executable (PE) e ELF, permitindo que ele operasse em ambos os sistemas operacionais perfeitamente. Curiosamente, esta variante empregou um método diferente de acesso inicial, aproveitando o recurso de replicação Redis, que permite a geração de réplicas exatas da instância Redis principal/líder.

O P2Pinfect Malware Se Espalha e Adiciona os Sistemas Comprometidos a um Botnet

A carga principal do malware é um binário ELF, habilmente escrito em uma combinação das linguagens de programação C e Rust. Após a execução, ele aciona o componente Rust da carga útil para assumir o controle.

Uma vez ativado, o binário procede para fazer alterações críticas na configuração do SSH no host de destino. Ele modifica a configuração do servidor OpenSSH para se assemelhar a um estado quase padrão, concedendo ao invasor acesso ao servidor por meio do protocolo Secure Shell (SSH) e habilitando a autenticação por senha. Em seguida, o agente da ameaça reinicia o serviço SSH e adiciona uma chave SSH à lista de chaves autorizadas para o usuário atual, garantindo acesso desimpedido ao sistema comprometido.

Na fase subsequente, o invasor implanta um script bash para manipular os nomes dos binários wget e curl. O script também verifica a presença de utilitários específicos e os instala, caso ainda não estejam disponíveis. O uso de um utilitário de firewall parece ser uma medida empregada pelo malware para proteger o servidor Redis vulnerável de outros invasores em potencial. O malware estabelece persistência no host comprometido, garantindo sua operação contínua.

Posteriormente, o servidor infectado é equipado com pelo menos um binário capaz de varrer o diretório /proc e acessar as estatísticas de cada processo nele contido. Além disso, o binário pode monitorar ativamente o diretório /proc para quaisquer alterações.

Além disso, o binário possui a capacidade de atualizar o binário primário do malware e executá-lo se a assinatura atual não corresponder à recuperada do botnet.

Ao tratar cada servidor Redis comprometido como um nó, o P2PInfect transforma a rede em uma botnet ponto a ponto. Essa botnet opera sem a necessidade de um servidor de Comando e Controle (C2) centralizado, garantindo a capacidade de receber instruções de forma autônoma.